セキュリティ・トップ  ›  当社開発ソフトウェア製品  ›  セッション管理診断WebProbe™

WebProbe™に関するご質問

 

ご回答

 ご質問への回答です。

1. WebProbe™ とは何ですか?

WebProbe™ は、Web アプリケーションのセッション管理についての脆弱性(欠陥)を診断するツールです。 WebProbe™自身がプロキシとなることで HTTP プロトコルのやりとりを解析し、Webアプリケーションのセッション管理の脆弱性(欠陥)を簡単な操作で自動的に検出します。また、従来、人手で行わざるをえなかった、「セッション追跡パラメータ」の推定を自動的に行えます。 これを基に 20 項目を超える脆弱性を診断し、詳細な解説とともに問題点をリストアップします。また、できるだけ不正なアクセスを伴わない方法で診断するため、実稼動中のサイトに対しても安心して診断できます。

2. WebProbe™ は何をするためのアプリケーションですか?どういうことが可能ですか?

WebProbe™ は、Web アプリケーションのセッション管理の脆弱性を診断します。セッション管理に脆弱な部分が発見された場合、第三者による個人情報の閲覧やユーザのなりすましが可能になってしまいます。事前に WebProbe™ で診断を行うことによりこれらのリスクを最小限にすることが可能になります。

3. クロスサイトスクリプティングは検出できますか?

クロスサイトスクリプティングはあくまで攻撃手法であり、その結果として Cookie の漏洩などが発生します。弊社は、守るべきはそれらのセッション情報であると考えています。そのため WebProbe™ では、クロスサイトスクリプティングの検出は行いません。しかしながら、クロスサイトスクリプティングは依然として危険であるため可能な限り対処すべきです。
クロスサイトスクリプティングを含めた総合的な Web アプリケーションの診断が必要な場合は、Webアプリケーション脆弱性診断サービスをご利用下さい。 セッション管理の方法に問題があり、情報漏洩や改ざん等を起こす可能性のあるセキュリティ上の問題。

4. MACアドレスとは何ですか?

ネットワークカード(NIC:Network Interface Card)に割り当てられる固有の番号(固有のアドレス)のことです。Ethernetでは、NICに対して48ビット(6バイト)のMACアドレスが付けられており、世界中に1つしかないユニークな番号になっています。

5. 私のPCのMACアドレスはどのように調べるのですか?

WebProbe™はWindows2000/XP上での動作のみ保証されていますので、Windows2000/XP上でMACアドレスを調べる手順を以下に説明します。
 スタートメニューより、「スタート」-「プログラム」-「アクセサリ」の「コマンドプロンプト」を起動します。
以下のコマンドを入力して下さい。「Physical Address」に続く部分がMACアドレスとなります。

C:\>ipconfig /all

Windows IP Configuration

        Host Name . . . . . . . . . . . . : wpsample
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Hybrid
        IP Routing Enabled. . . . . . . . : No
        WINS Proxy Enabled. . . . . . . . : No
        DNS Suffix Search List. . . . . . : softek.co.jp

Ethernet adapter ローカル エリア接続:

        Connection-specific DNS Suffix  . : softek.co.jp
        Description . . . . . . . . . . . : Broadcom 440x
        Physical Address. . . . . . . . . : 00-AA-BB-33-E4-6G(これは例です)
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 172.16.1.1
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 172.16.1.1
        DNS Servers . . . . . . . . . . . : 172.16.1.1

6. WebProbe™ で診断をしていると、Javaアプレットのページで突然 WebProbe™ が終了してしまいましたが、これは何故ですか?

大変申し訳ありませんが、現在のところ WebProbe™ は Java アプレットに対応しておりません。
また、ActiveX やその他プラグインについては対応出来ないものが御座いますので、ご了承の上ご利用下さいますようお願いします。

7. WebProbe™ で診断中に多数のページにアクセスすると、診断結果が表示されなかったり、おかしな動作をすることがありますが、これは何故ですか?

メモリが足りない可能性があります。WebProbe™ はアクセスしたページ数に比例して、数十~数百MBのメモリを使用します。そしてメモリが足りなくなると、不安定になる場合があることを確認しております。
 改善するには、申し訳ありませんが、メモリを増設するか、診断するページを分けて診断を行うか、いずれかの対応をお願い致します。
なお、将来的にはメモリ使用量を減らす方向で改善する予定です。

 
おすすめコンテンツ ソフテック診断サービスの特長 ソフトウェア開発力 選べる診断サービス ドキュメント・報告書 初めてのセキュリティ診断 診断に対するご質問と回答 FAQ フテックの診断アフターケア ご相談・資料請求
セキュリティホール情報とリスク管理ユーティリティ SIDfm SID警告センター